Команда разработчиков GuardiCore, специализирующаяся на безопасности, сообщила об обнаружении кампании по манипуляции трафиком и скрытой добыче криптовалют. Эта кампания, получившая название Operation Prowli, заразила уже более 40 000 машин в разных регионах мира.
Prowli использует различные методы атаки, в том числе эксплойты и подбор паролей, для распространения вредоносных программ и захвата веб-серверов, модемов и устройств Интернета вещей (IoT). GuardiCore делает вывод, что злоумышленники, стоящие за Prowli, сосредоточены только на зарабатывании денег, а не на идеологии или шпионаже.
Согласно докладу GuardiCore, устройства были заражены майнером Monero (XMR) и червем r2r2. Это вредоносное ПО запускает brute-force attack с взломанных устройств и поддерживает Prowli, чтобы найти на новые жертвы. Другими словами, случайным образом генерируя блоки IP-адресов, r2r2 пытается перебирать SSH-логины со словарем user/ password, а после взлома запускает серию команд на заряженном устройстве.
В GuardiCore пишет:
«Все атаки проведены одинаково, обмениваясь с одним и тем же сервером C&C, чтобы загрузить инструменты атаки под названием r2r2 вместе с майнером криптовалют.»
Кроме того, киберпреступники использовали веб-панель с открытым исходным кодом “WSO Web Shell”. Взломанные устройства перенаправляли посетителей сайта на различные вредоносные сайты. После перенаправления на поддельный веб-сайт пользователи становились жертвой вредоносных расширений браузера. Команда GuardiCore сообщила, что Prowli удалось взломать таким образом более 9000 компаний.
